Jogszerű-e a Google szolgáltatásainak használata hazai cégeknél?

Posztunkban arra keressük a választ, okozhat-e problémát, ha egy magyar cég működéséhez a Google adatelemzéseit veszi igénybe. Röviden bemutatjuk az amerikai adatkezeléssel kapcsolatos problémákat, az eddigi megoldási kísérleteket, és egy iránymutató hazai adatvédelmi döntést.

Miért fontos kérdés az EU és az USA között az uniós polgárok adatainak védelme?

A digitalizáció egyik következménye, hogy a személyek online tevékenysége rengeteg értékes adatot hagy róluk, amit számos cég igyekszik gyűjteni, tárolni és felhasználni pl. online marketinghez, vagy akár csak a saját működésének fejlesztéséhez. A cégek ezen érdekével szemben áll, hogy az EU-ban a természetes személyek személyes adatainak védelme alapvető jog, amit az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdése és az Európai Unió működéséről szóló szerződés (EUMSZ) 16. cikkének (1) bekezdése rögzít is.

A probléma alapja, hogy a legfontosabb ilyen cégek, pl. a Google Analytics, ahogy az online platformok nagy része is, amerikaiak, adataikat jellemzően a tengerentúlon tárolják és dolgozzák fel. Márpedig az amerikai jogrendszerben alkotmányos védelem csak amerikai állampolgárokra vonatkozik, mindenki más adataihoz, beleértve az uniós állampolgárok USA-ban tárolt adatait is, a helyi állambiztonsági szervek és hivatalok viszonylag szabad hozzáféréssel rendelkeznek, és nem félnek azt használni.

Az EU-ban az Általános Adatvédelmi Rendelet[1] szabályozza a személyes adatok védelmének kérdését, az Unióban gyűjtött személyes adatok tengerentúli továbbításának engedélyezéséhez viszont megfelelő jogi garanciák kellenek.

Milyen megállapodások védték az uniós polgárok adatainak amerikai felhasználását?

EU-USA adatvédelmi megállapodások:

Safe Harbor megállapodás: a két fél által létrehozott konstrukció szerint azok a cégek, amelyek önként alávetik magukat egy hét pontból álló szabályozásnak, megfelelnek az uniós adatvédelem szintjének. Az Európai Bizottság 2000-ben adott ki döntést erről, amely 2015-ig hatályban is maradt, annak ellenére, hogy gyakorlatban szinte semmilyen érdemi védelmet nem biztosított. A Safe Harbort az Európai Unió Bírósága 2015-ben érvénytelennek nyilvánította az amerikai jogi szabályozás (különösen a Patriot Act) miatt.

Privacy Shield keretrendszer: az egyezmény három központi elemre épült. Az amerikai fél biztosította, hogy hatóságai csak korlátozások mellett férnek hozzá az uniós állampolgárok amerikai földön tárolt adataihoz, és ennek betartását az uniós fél ellenőrizhette. Második elemként az Európai Bizottság a tagállami adatvédelmi hatóságokkal, és az amerikai Kereskedelmi Minisztérium évente felülvizsgálták a vállalások teljesülését. Végül az uniós állampolgárok az EU-s adatvédelmi hatóságokon keresztül közvetlenül az amerikai jogrendszerben fordulhattak védelemért visszaélés esetén, ráadásul amerikai részről nem a hírszerző szervek, hanem egy független ombudsman kezelhette a panaszokat.

Az Európai Bíróság viszont 2020-ban kimondta a Privacy Shield érvénytelenségét is, így azóta a transzatlanti adattovábbítás és feldolgozás GDPR-megfelelése nincs megoldva, ami adatvédelmi elmarasztalásokhoz vezethet.

A két fél azóta dolgozik egy új keretmegállapodás kidolgozásán, azonban elfogadásra még nem került sor.

Hogyan érintheti ez a helyzet a magyarországi cégeket?

Az osztrák és holland vállalatok mellett, a magyarországi vállalkozásoknak is kiemelt figyelmet kell fordítania az adatvédelmi megfelelőségre, különösen a tengerentúli cégek, pl. Google szolgáltatásainak igénybevételénél, ezt támasztja alá a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) Időkép Kft-vel szembeni vizsgálata.

A NAIH szerint az Időkép Kft. weboldalán használt cookiek bizonyos esetekben továbbra is továbbíthatnak személyes adatokat az USA-ba, annak ellenére, hogy már korábban felfüggesztette a Google Analytics használatát. A cég a vizsgált cookiekkal történő adatkezelés tekintetében független adatkezelőnek minősül, és csak olyan adatfeldolgozókat vehetne igénybe, akik megfelelő garanciákat nyújtanak a GDPR követelményeinek való megfelelésre, amit a Google Analytics nem teljesít. Emiatt a NAIH megállapította, hogy az Időkép jogellenesen továbbított személyes adatokat az USA-ba, és megsértette a GDPR 28. cikk (1) bekezdését. Bírságot egyelőre nem rótt ki a hatóság, csak felszólította az Időképet a jogellenes helyzet felszámolására.

[1] az Európai Parlament és Tanács 2016. április 27-i (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról – General Data Protection Regulation, GDPR

Facebook
Twitter
LinkedIn